Neuinstallation und Verschlüsselung

[wanne]

Ansonsten solltest du die Software kennen und wissen wo sie sensible Daten ablegt und ob sich das nur in /home abspielt. Desktopumgebungen legen ganz gerne unter /tmp ab => Du musst /tmp gesondert absichern
Serverprogramme machen das gerne unter /var, insbesondere unter /var/log sind oft sensible Daten von Servern. => Nur /home verschlüsseln reicht nicht
Viele Programme von Drittanbietern legen auch mal userdaten unter /opt ab. (Wildfly, Steam sind so Beispiele)

Und noch eine Anmerkung: Für /tmp emfiehlt sich tmpfs. Nicht nur sicherer sondern Performanter:
In der fstab sieht das dann so aus:

Code: Alles auswählen

none                    /tmp            tmpfs   defaults    0 0

[Celica]

Ok,ganz ohne Verschlüsselung ist glaube ich nicht gut.
Übertreiben würde ich nicht wollen.
Ich könnte mir sogar vorstellen nur /home zu verschlüsseln, aber wenn ich das wie folgt aufteile,dann passt das glaube ich auch ganz gut:

"/boot" unverschlüsselt
"/" + "/home" verschlüsselt als LVM
SWAP als eigenständige aber unverschlüsselt.

Das finde ich wäre ein guter Kompromiss der auch realisierbar von mir wäre und es müsste beim hochfahren nur ein Passwort von meiner besseren Hälfte eingegeben werden. Das sollte zumutbar sein!

Ist ganz bestimmt nicht die 100% Methode aber ein guter Kompromiss für die Eventualitäten wie ich finde.

Ich lese mir die links mal in Ruhe durch und schaue ob ich so ins Ziel komme.

Herzlichen Dank für euren schnellen und zahlreichen Support.

[scientific]

Wie schon erwähnt wurde... Passwörter und sensible Nutzerdaten können auch außerhalb von /home liegen... Also wenn verschlüsseln, dann alles.

[Celica]

Ich Zweifel ein wenig.
Das ist viel Aufwand für denjenigen der das zum ersten mal einrichtet.
Der ein oder andere Nachteil ist nicht von der Hand zu weisen.
Ich selber habe einen Firmenlaptop mit dem ich um die halbe Welt Reise und toi,toi,toi bisher.
Klar, dass kann auch mal in die Hose gehen.
Im Ubuntu wiki steht auch, dass eine Risikoanalyse über die Wichtigkeit der Daten im Verhältnis zum Aufwand und Nutzen gemacht werden sollte.
Vielleicht muss ich mir auch dazu noch einmal Gedanken machen.

[wanne]

Celica: Bitte lies mal meinen Beitrag.

SWAP als eigenständige aber unverschlüsselt.

Da der Key ganz gerne mal auf SWAP ausgelagert wird, und du den bei SSDs auch nicht mehr gelöscht wird, kannst du es dann auch komplett sein lassen.
Daneben ist die Verschlüsselung der SWAP wie oben angemerktein 2-Zeiler.

"/" + "/home" verschlüsselt als LVM

Warum LVM? Nur langsam und kompliziert. Keinerlei Vorteile.

Das finde ich wäre ein guter Kompromiss der auch realisierbar von mir wäre und es müsste beim hochfahren nur ein Passwort von meiner besseren Hälfte eingegeben werden.

Warum? Wenn du eh schon / verschlüsselst, kannst du da auch einen Keyfile ablegen?

[wanne]

Das ist viel Aufwand für denjenigen der das zum ersten mal einrichtet.

Eigentlich absolut nicht. Bei der Installation ist es ein einziger Button. Das Nachträgliche verschlüsseln von /home swap und /tmp ist in 5min passiert. (wenn man die zeit für, Backup (das natürlich dateigrößenabhänig ist) absieht.)
Wie gesagt: kopier einfach die drei von mir gepostetetn Zeilen zu /tmp und swap , ersetze den Festplattennamen durch deinen (Samsung_SSD…) mach systemctl daemon-reload und du hast eine sichere /tmp und SWAP, was schon mal ein erheblicher Vorteil ist. Das ist in 20s passiert, wenn man es einfach macht und nciht nochmal 5k Fragen stellt.

Alles unter der Voraussetzung, dass man halt die defaults lässt nicht mit irgend welchen einstellungen von Trim, LVM oder sonst irgend was rumspielt, de eigentlich gar nichts mit der Verschlüsslung zu tun haben.
So z.B.: Weißt du ob du Trim aktuell aktivierst hast? Hast du gewusst ob du LVM nutzt bevor du verschlüsselt hast?
Warum machst du dir jetzt plötzlich drüber gedanken?

Der ein oder andere Nachteil ist nicht von der Hand zu weisen.

Welcher?

[Celica]

Ich weiß Ihr meint es nur gut mit mir und ich sehe das alles ein, bin absolut dafür und Asche über mein Haupt, aber: Ich stehe ein wenig unter Druck und wenn ich mir das ansehe, dann erscheint mir das schon aufwendiger und komplizierter.
Der Rechner muss schnellstmöglich fertig werden und muss zuverlässig laufen ... und ja, ich weiß, dass alles sollte keine Rolle spielen!

Ich möchte mal das Risiko betrachten mit möglichem Reaktionsplan.
Vielleicht habe ich etwas übersehen, oder da gibt es ein absolutes NoGo.
Bitte versucht euch da mal herein zu denken.

Rechner komplett unverschlüsselt und worst case, er wird entwendet:

• Firmendaten wie Finanzdaten, Präsentationen, Schriftverkehr => Nicht schön, auf einer Skala zwischen 1 - 3 (1 = keine Gefahr; 2 = Rechte werden verletzt; 3 = Schaden kann durch unbefugte angerichtet werden) Bedeutung=1; Reaktion keine!
• Personen bezogene Daten => B=2 würde ich denken; Reaktion keine, da nur Namen und max. Adressen, ggf. Personen informieren!
• Online Banking, Login Daten => B=3; Reaktion wäre Bankkonten sperren, Zugagnsdaten ändern
• Netzwerkdaten wie WLAN zu hause => B=3; Zugangsdaten ändern

Das wären für mich mögliche Szenarien, deren Folgen und wie darauf reagiert werden könnte.
Immer vorausgesetzt das die Reaktion schnell genug erfolgen kann durch frühzeitige Entdeckung!

Wie hoch schätze ich die Wahrscheinlichkeit ein, dass der Rechner in falsche Hände gerät?
Sehr gering, da dieser entweder zu hause liegt (ok, ein Einbrecher könnte diesen entwenden, jedoch ist das Haus Alarmgesichert, da wir bereits einen Einbruch hatten und dann könnte der Einbrecher auch andere Geräte entwenden die nicht gesichert sind, z.B. Laptop für zu hause, Backup HDDs wenn er sie findet, ... aber in der Regel sind Einbrecher nicht auf solch ein Diebesgut aus. Ich spreche aus Erfahrung ), oder im Fahrzeug, aber das schätze ich auch sehr gering ein, da beaufsichtigt, gesichert und nicht einsehbar.
Beim Kunden ständig in sicherer Umgebung bzw. unter Beobachtung!

Ein Rechner der täglich an einer Uni, Schule, ... z.B. mitgeführt wird, oder so wie bei mir auf Dienstreisen an Flughäfen, im Hotel, ... wo dieser auch mal unbeaufsichtigt ist, ist einem wesentlich höherem Gefahrenpotential ausgesetzt.
All diese Szenarien sind für mich potentiell gefährlicher wie das, wo dieser Rechner eingesetzt werden soll.

... und ja, es besteht ein Restrisiko dessen ich mir bewusst bin. Genau deswegen habe ich auch ein schlechtes Gewissen und deswegen bin ich einfach nur hin und hergerissen.
Ich würde den Rechner wie mehrfach hier beschrieben wurde ja konfigurieren, aber wie ich schon gesagt habe fehlt mir die Zeit und ich kenne mich damit zu wenig aus, habe zu wenig Erfahrung, ...
Jetzt könnt ihr gerne sagen: "Ja, warum fragt er halt so blöd!"
Ihr habt Recht und ich habe mich vollkommen verschätzt bei dieser Aufgabenstellung!

Ich würde euch um eure ehrliche Meinung bitten und wenn ich bei meiner Betrachtung etwas vergessen habe, irgendwo total daneben liege, Ihr ein NoGo seht, oder was auch immer: Dann sagt mir das bitte!
Ich habe ja verstanden das eine Vollverschlüsselung die beste Methode ist. Darüber bin ich mir durchaus bewusst!

[DeletedUserReAsG]

Zu ecryptfs: Es nutzt ziemlich veraltete crypto (MD5, Blowfish…).

Man kann genausogut auch AES wählen (ist, glaube ich, default). Vorteil beim ecryptfs ist halt, dass der User eben keine zusätzliche Passphrase eintippeln muss, wenn es entsprechend aufgesetzt ist. Dann wird das ~ beim Login entschlüsselt, und beim Logout ist wieder alles zu. Außerdem lassen sich die vorhandenen Daten damit auch on-the-fly verschlüsseln, ohne sie an ’ner dritten Stelle zwischenzuspeichern. Und da’s dateibasiert arbeitet, braucht man auch bzgl. des Trim-Krams von SSDs nichts weiter zu beachten. Nachteil ist eben eine etwas geringere Performance, verglichen mit dm_crypt (aber immer noch erheblich höher als etwa die Performance von encryptfs) und die Tatsache, dass das System nicht verschlüsselt ist, und so potentiell Manipulationen möglich sind (was aber auch erst dann von Bedeutung ist, wenn man ein abhandengekommenes Gerät wiederbekommt und damit weiterarbeiten will – der normale Dieb wird’s eher nicht zurückgeben, die Userdaten sind in dem Fall auch nicht weniger sicher, als bei Vollverschlüsselung des Systems).

Das nachträgliche Einrichten wäre etwas Handarbeit, aber machbar – Tutorials sind zu finden, und ’ne VM zum Üben ist ja auch schnell aufgesetzt; notfalls reicht sogar ’n neuer Useraccount auf dem eigentlichen System zum Probieren.

[Celica]

Da komme ich wieder auf meinen Kompromiss zurück:

"/boot" unverschlüsselt;
"/" + "/home" via LUKS bei der Installation mit AES verschlüsseln;
"SWAP" unverschlüsselt

Unter Berücksichtigung meiner Risikobetrachtung vertretbar als Kompromiss und besser wie nix?

Wobei mir a) nicht klar ist wo mein Fehler bei meiner Installation gewesen ist und b) muss ich dann ein Passwort beim booten eingeben?

[DeletedUserReAsG]

Wenn du / und /home verschlüsselst, solltest du auch Swap verschlüsseln. Ansonsten kann’s passieren, dass der Schlüssel dort frei zugänglich liegenbleibt. Solange kein Suspend benötigt wird, kann man’s bei jedem Systemstart mit einem zufälligen Schlüssel einhängen und gut.

Zu b: natürlich wirst du mindestens eine Passphrase eingeben (oder halt was mit ’nem USB-Stick bauen) müssen. Es wäre zwar machbar, aber dann doch ein wenig sinnfrei, das System so zu verschlüsseln, dass letztlich doch jeder ohne Schlüssel das System hochfahren und auf die Daten zugreifen kann.

[rhHeini]

So wie ich den Installer kenne wird der bei verschlüsseltem / und /home anmeckern das /swap nicht verschlüsselt ist, es geht nicht weiter.

Mach ein /boot ohne Verschlüsselung, dann ein Volume für Verschlüsselung als neue Partition, egal ob normal oder extended, nur gross genug. Default-Einstellungen. Darin dann ein LVM für /, home, swap. Du brauchst nur einen Schlüssel, dann ist das System arbeitsfähig.

Bei Bedarf: automatische Entschlüsselung über Keyfile auf USB-Stick oder ähnlich.

Ich setze inzwischen aufgrund der gesellschaflichen Randbedingungen jeden Rechner nur noch verschlüsselt auf.

Gruss, rolf

[wanne]

Unter Berücksichtigung meiner Risikobetrachtung vertretbar als Kompromiss und besser wie nix?

Kurz: Beschissen.
Dank unverschlüsseltem SWAP deutlich unsicherer als alle hier vorgeschlagenen Varianten bei maximaler Umständlichkeit: Du brauchst eine Neuinstallation und musst dich mit LVM auseinandersetzen.
Wie gesagt: SWAP und /tmp enthalten mit Abstand die sensibelsten Informationen und sind dabei am einfachsten abzusichern.
/ enthält dagegen kaum sensible Infos, verursacht aber die meisten Probleme beim Verschlüsseln (Einfach nur durch Neuinstallation umzusetzen und die größten Performanceeinbußen).

Es gilt die Reihenfolge:
===> schwieriger Abzusichern ====>
/tmp <-> SWAP <-> /home,/opt,/var <-> /
<=== mehr Sicherheitsgewinn <====

[Celica]

OK, noch ist nicht`s passiert und ich kann ohne Probleme neu installieren, was ich ohne hin machen möchte.

"/boot" unverschlüsselt, ext4, 300MB
"/" + "/home" + "SWAP" als LVM mit LUKS (AES) durch den Debian Installer.

Damit hätte ich alle sensiblen Bereiche, außer "/boot" verschlüsselt.
Einmal beim Booten ein Passwort eingeben und alles wird freigegeben, richtig?

Wie ist die Performanceeinbuße bei dieser Konstellation einzuschätzen mit einer SSD und dem T440 (Schätzung)?
Wie sieht das mit Suspend aus? Funktioniert das dann?

Ich denke das ich weiß warum ich bei meiner ersten Installation nicht verschlüsseln konnte: Ich hatte SWAP nicht verschlüsselt und das hat der Installer nicht gemacht.
Kann das angehen?

Geführte Installation geht glaube ich wegen der "/boot" nicht, oder habe ich das falsch in Erinnerung?
Möchte halt keinen Fehler beim Partitionieren machen um hinterher wieder festzustellen, dass ich etwas falsch gemacht habe.
Wenn ich verschlüssel, wann bei der Installation muss ich das Passwort eingeben?

Das Debian Handbuch finde ich an dieser Stelle nicht so detailliert, wobei es ansonsten super ist.
Gibt es eine bessere Anleitung die diese Stelle detaillierter beschreibt?

[tobo]

Einmal beim Booten ein Passwort eingeben und alles wird freigegeben, richtig?

Ja.

Wie ist die Performanceeinbuße bei dieser Konstellation einzuschätzen mit einer SSD und dem T440 (Schätzung)?

Meiner Meinung nach irrelevant niedrig.

Wie sieht das mit Suspend aus? Funktioniert das dann?

Es spricht nichts dagegen.

Ich denke das ich weiß warum ich bei meiner ersten Installation nicht verschlüsseln konnte: Ich hatte SWAP nicht verschlüsselt und das hat der Installer nicht gemacht.
Kann das angehen?

Kann gut sein, wurde hier ja auch schon genannt.

Geführte Installation geht glaube ich wegen der "/boot" nicht, oder habe ich das falsch in Erinnerung?

Ja.
https://linux-gefaellt-mir.blogspot.com ... linux.html
Gilt (vielleicht nicht in jeder Kleinigkeit) auch so für Stretch.

Wenn ich verschlüssel, wann bei der Installation muss ich das Passwort eingeben?

Guckst du im Link oder lässt dich überraschen.

[Celica]

Das sieht sehr einfach aus.
Komplette Platte bedeutet hier auch /boot und wird verschlüsselt?
So werde ich das ausprobieten

Wo ist den hier der Pferdefuß ?

[tobo]

Komplette Platte bedeutet hier auch /boot und wird verschlüsselt?

Du meinst das, was extra unter "Wichtige Info zur /boot Partition" nochmal angesprochen wird?

Wo ist den hier der Pferdefuß ?

Wenn einer vorhanden ist, dann vermutlich direkt vor deinem Monitor!?

[Celica]

Ok, geführte Installation mit LVM wird die /boot Partition automatisch angelegt und nicht verschlüsselt.
Nicht geführte Installation muss zwingend Töne nicht verschlüsselte /boot angelegt werden. Halt manuell.
Ich denke alles verstanden zu haben und geht am WE lis.

Danke für eure Hilfe.

[wanne]

Wie ist die Performanceeinbuße bei dieser Konstellation einzuschätzen mit einer SSD und dem T440 (Schätzung)?

Bei AES: Keine. Die Prozessoren der 4th Generation von Intel haben alle AES in Hardware. Da merkst du nichts mehr von.

Wie sieht das mit Suspend aus? Funktioniert das dann?

Um suspend gieng es nie. Lediglich der selten genutzte hibernate ist in manchen Konfigurationen problematisch.

[wanne]

Ich habe hier mal die Grundlagendiskussion, was für Verschlüsselungsverfahren welche Garantien und Sicherheiten geben, abgetrennt. Die gibt es jetzt hier:
Gursätzliches zu Festplattenverschlüsselung